![\"\"](\"http:\/\/newgeekweb.fightcar.webd.pl\/wp-content\/uploads\/2023\/10\/1162815ad9bf895f2061c0defe3b0cae.jpg\")
<\/p>\n<\/p>\n
Pa\u017adziernik to tradycyjnie Europejski Miesi\u0105c Cyberbezpiecze\u0144stwa. Przypomnimy wi\u0119c wam, z tej okazji, pewne podstawowe zasady, kt\u00f3re znacz\u0105c\u0105 zmniejsz\u0105 mo\u017cliwo\u015b\u0107 zhakowania was w sieci.<\/p>\n
<\/p>\n
Do ochrony swoich kont internetowych<\/strong>, i to nie tylko tych bankowych, ale r\u00f3wnie\u017c np. do Facebooka, Netflixa, Instagrama, czy ka\u017cdej (jakiejkolwiek) us\u0142ugi, u\u017cywasz jedynie loginu i has\u0142a? Niedobrze. W chwili nieuwagi mo\u017ce przytrafi\u0107 ci si\u0119 to, co pewnej u\u017cytkowniczce Twittera. Przypadek, roztargnienie, nieszcz\u0119\u015bliwy zbieg okoliczno\u015bci sprawi\u0142, \u017ce da\u0142a z\u0142apa\u0107 si\u0119 na phishing<\/strong> w efekcie kt\u00f3rego straci\u0142a ze swojego konta bankowego 2 tysi\u0105ce z\u0142otych. A takich przyk\u0142ad\u00f3w s\u0105 dziesi\u0105tki.<\/p>\n Jednym z rozwi\u0105za\u0144 i ochron\u0105 przed tego typu atakami lub atakami polegaj\u0105cymi na zgadywaniu, zdobywaniu lub z\u0142amaniu has\u0142a do jakiej\u015b us\u0142ugi jest wprowadzenie wielopoziomowego uwierzytelniania<\/strong>, np. w postaci uwierzytelniania dwusk\u0142adnikowego<\/strong>. Polega to na dodaniu do standardowego loginu i has\u0142a kolejnego czynnika (czego\u015b, co masz), kt\u00f3ry, przynajmniej w zamierzeniu, powinien utrudni\u0107 znacznie mo\u017cliwo\u015b\u0107 przej\u0119cia konta przez przest\u0119pc\u0119. Tym dodatkowym czynnikiem mo\u017ce by\u0107 kod autoryzacyjny otrzymywany poprzez SMS\u00a0lub sze\u015bciocyfrowy kod generowany przez aplikacj\u0119 zainstalowan\u0105 na smartfonie lub te\u017c, co raz rzadziej obecnie, na zewn\u0119trznym, fizycznym tokenie. Takimi aplikacjami s\u0105 np. Google Authenticator lub Authenticator<\/strong> firmy Microsoft. Ale i u\u017cytkownik tego typu zabezpieczenia mo\u017ce pa\u015b\u0107 ofiar\u0105 zmy\u015blnie przeprowadzonego ataku spear phishingowego<\/strong> lub ataku polegaj\u0105cego na przej\u0119ciu numeru telefonu, a tym samym kod\u00f3w autoryzacyjnych. Jakie jest wi\u0119c rozwi\u0105zanie optymalne dla bezpiecze\u0144stwa?<\/p>\n Fizyczny klucz U2F<\/strong> (Universal 2 Factor) to urz\u0105dzenie przypominaj\u0105ce swoim wygl\u0105dem pami\u0119\u0107 zewn\u0119trzn\u0105 i tak te\u017c si\u0119 z niego korzysta. Urz\u0105dzenie to jest wpinane w port USB komputera. Skonfigurowane na stronie obs\u0142uguj\u0105cej takie uwierzytelnianie za pomoc\u0105 klucza sprz\u0119towego generuje par\u0119 kluczy, kt\u00f3re tam te\u017c (w danym serwisie) s\u0105 przetrzymywane. Powoduje to, \u017ce klucza mo\u017cemy teoretycznie u\u017cy\u0107 na niesko\u0144czonej ilo\u015bci serwis\u00f3w. Po skonfigurowaniu go, przy pr\u00f3bie logowania\u00a0serwis w kt\u00f3rym mamy konto wysy\u0142a tzw. challenge<\/em>, kt\u00f3ry zostaje podpisany przez nasze urz\u0105dzenie i wys\u0142any z powrotem. Nasz klucz wsp\u00f3\u0142pracuje bezpo\u015brednio z przegl\u0105dark\u0105 co czyni go niepodatnym na ataki typu keylogger czy phishing.<\/p>\n![\"\"](\"http:\/\/newgeekweb.fightcar.webd.pl\/wp-content\/uploads\/2023\/10\/Zrzut_ekranu_2020-09-24_220357.png\")
<\/figure>\nFizyczny klucz U2F<\/h1>\n